概要
セキュリティ研究機関Cymulate Research Labsは、Microsoft Windows Admin CenterのAzure ADシングルサインオン実装における高 severity の認証バイパス脆弱性(CVE-2026-20965)を発見しました。この脆弱性を悪用されると、攻撃者は単一のマシンに対するローカル管理者権限を持つだけで、同じAzureテナント内の他のすべてのWindows Admin Center管理システムを侵害する可能性があります。
脆弱性の詳細
この脆弱性は、主にProof-of-Possession (PoP) トークンとアクセスキーの不適切な検証に起因します。Windows Admin Centerサーバーが、必要な2つのトークン間でユーザープリンシパル名(UPN)が一致するかを検証しないことが問題です。加えて、実装がHTTPメソッド、エンドポイント、またはノンス値に関わらずトークンを再利用し、2つのトークン間のIDバインディングを強制しない点が、この問題をさらに悪化させています。
攻撃シナリオと影響
攻撃者は、まず1つのマシンでローカル管理者権限を獲得します。その後、WAC APIサーバー証明書をダンプし、正規のサービスになりすますことができます。これにより、特権を持つユーザーがWindows Admin Centerに接続する際に発行されるWAC.CheckAccessトークンを窃取します。
窃取したトークンと攻撃者が偽造したPoPトークンを組み合わせることで、被害者ユーザーがアクセスできる任意のWAC管理マシン上でリモートコマンドを実行できるようになります。この攻撃により、以下の深刻な影響が発生する可能性があります。
- WAC管理マシン間での横方向の移動(Lateral Movement)
- ユーザーのなりすましによる特権昇格
- 管理対象ID資格情報の情報漏えい(Exfiltration)
- Azureリソースグループとサブスクリプションの分離を破る境界横断的な侵害
対象システムと対策
この脆弱性の対象となるのは、Windows Admin Center Azure Extensionのバージョンが0.70.00未満のAzure Virtual MachinesおよびAzure Arc接続マシンすべてです。
Microsoftは2026年1月13日にセキュリティアップデートをリリース済みです。組織は直ちにWindows Admin Center Azure Extensionをバージョン0.70.00にアップグレードすることが強く推奨されます。CymulateのExposure Validationプラットフォームは、2026年1月14日にこの脆弱性を持つデプロイメントを特定するスキャンシナリオを追加しています。
検出と監視
防御側は、WACによって作成される不審な仮想アカウント(特に未知のテナントドメインに関連付けられたもの)に注意を払う必要があります。アカウント名は「[email protected]」のような形式を取ります。
KQLクエリを使用して、AccountNameに「@」が含まれるものの、組織のテナントアドレスではない異常なログオンイベントを検出することが有効です。
教訓
この脆弱性は、トークン検証における微妙な不備が、いかにクラウドの分離保証を崩壊させ、攻撃者が単一マシンの侵害からテナント全体を管理する制御へと容易に移行できるかを示しています。複雑なクラウド環境における認証メカニズムの厳格な検証が、依然として重要であることを改めて浮き彫りにしました。
元記事: https://gbhackers.com/azure-identity-token-flaw-exposes-windows-admin-center/